La société de cybersécurité CrowdStrike a découvert le malware utilisé par les pirates de SolarWinds pour injecter des portes dérobées dans les builds de la plate-forme Orion lors de l’attaque de la chaîne d’approvisionnement qui a conduit au compromis de plusieurs entreprises et agences gouvernementales.

Sunspot, comme il a été surnommé par CrowdStrike, a été abandonné par les attaquants dans l’environnement de développement du logiciel de gestion informatique Orion de SolarWinds.

Après avoir été exécuté par l’acteur de la menace – suivi sous le nom de StellarParticle (CrowdStrike), UNC2452 (FireEye) et Dark Halo (Volexity) – le logiciel malveillant surveillait et injectait automatiquement une porte dérobée Sunburst en remplaçant le code source légitime de l’entreprise par un code malveillant.

«La conception de SUNSPOT suggère que les développeurs de StellarParticle ont investi beaucoup d’efforts pour s’assurer que le code a été correctement inséré et ne sont pas détectés, et ont donné la priorité à la sécurité opérationnelle pour éviter de révéler leur présence dans l’environnement de construction aux développeurs SolarWinds», a constaté CrowdStrike.

Toutefois, « [s]Plusieurs sauvegardes ont été ajoutées à SUNSPOT pour éviter que les versions d’Orion échouent, ce qui pourrait alerter les développeurs de la présence de l’adversaire. « 

Troisième malware lié aux pirates de SolarWinds

Il s’agit de la troisième souche de malware découverte lors de l’enquête sur l’attaque de la chaîne d’approvisionnement SolarWinds et associée à l’acteur de la menace StellarParticle.

Le deuxième est le malware de porte dérobée Sunburst (Solorigate) déployé par les pirates de SolarWinds sur les systèmes des organisations qui ont installé des versions de Troie Orion via le mécanisme de mise à jour automatique intégré de la plate-forme.

Après avoir récupéré plusieurs échantillons Sunburst qui fournissaient différentes charges utiles, FireEye a trouvé un troisième malware nommé Teardrop, qui est un compte-gouttes de mémoire uniquement inconnu et un outil de post-exploitation utilisé pour déployer des balises Cobalt Strike personnalisées.

Un quatrième malware, non lié aux hackers de StellarParticle mais également livré à l’aide de chevaux de Troie …

Voir la source de cette publication